pfsense Open VPN Client Verbindung zum Tunnel alle Traffics über einen Gateway
-
Hi
Ich bin nun seit Stunden am Konfigurieren meiner Firewall (nein Tage).
Nach ChatGTP belässtigung muss ich davon ausgehen das die Anleitung flasch ist.Könntet ihr mal drüberschauen?
Gerne Postet ich auch Screenshots zu meiner Config, wenn fragen sind.https://support.fastestvpn.com/tutorials/more-devices/pfsense-2-6/
Hab auch extra die Version 2.6 installiert. :-(Weis gerade nur nich weiter..
Traffic wird einfach am Tunnel vorbei geroutet. State Rest etc. weiß überhaupt nicht mehr was ich schon alles versucht habe.
Grüße
-
@andypasti die aktuelle Version ist doch 2.8.1, oder? Wenn du magst, poste bitte einmal deine bisherige Konfiguration, dann können wir darauf aufbauen.
-
Kann ich das einfach Expotieren ?
Dachte mein Passwort für das VPN wird mit Exportiert? -
@andypasti Also dein Anbieter da sieht jetzt nicht sonderlich seriös aus. Möglicherweise hast Du alles richtig gemacht und es liegt einfach an denen...
@andypasti said in pfsense Open VPN Client Verbindung zum Tunnel alle Traffics über einen Gateway:
Kann ich das einfach Expotieren ?
Screenshots von Dir sind vermutlich gemeint.
-
Nein, es läuft!!!
Jippie, hab in der Anleitung die Logs für OpenVPN gefunden.
Dadrin hab ich gesehen das Compression nicht stimmt.Also der Punkt Troubleshooting war die Lösung.
Hatte gedacht ich hatte den Extra Punkt schon abgearbeitet.
Hatte aber die Adaptive LZO Compression nicht eingestellt.Aber auch der Kill-Switch geht nicht.. hatte ohne Compression Automatisch ein Leak. Auch uncool.
Aber ist ja alles LAB.
Auch wird der DNS Leaktest nicht bestanden..
Aber es läuft.
-
Probiere mal für den Kill-Switch die Option
-
Hab Firewall Regel so angepasst das WAN regel nicht mehr vorhanden ist.
ChatGPT hat mich auf die Idee gemacht.
Damit wäre der Kill-Switch realisiert.Der Push hat leider nur dazugeführt das kein Tunnel mehr aufgebaut werden konnte.
Lass gerade dauer Speedtest laufen um zuschauen wie Stabil die verbindung ist und welche bandbreite im schnitt anliegt.
-
DNS Leak konnte durch mehrer einstellungen beheben.
https://www.reddit.com/r/PFSENSE/comments/wooent/set_and_forget_settings_for_avoiding_isps_dns/Der Knoten konnte dann durch weiterleitung statt Local DNS gelöst werden.
-
@wkn said in pfsense Open VPN Client Verbindung zum Tunnel alle Traffics über einen Gateway:
Probiere mal für den Kill-Switch die Option
Das hat defacto ja nichts mit "Kill-Switch" zu tun. Der soll ja eigentlich verhindern, dass Traffic am VPN vorbei blubbert.
Stichwort ist da "NO_WAN_EGRESS". Also eine Regel, die Pakete taggt, die eigentlich per VPN geroutet werden sollen/müssen. Und eine zweite, die entsprechend getaggte Pakete auf dem WAN ausgehend verbietet.
Die Anleitung liest sich aber steinalt, pfSense 2.7 und 2.8 sind Generationen weiter und das OpenVPN ist auch nicht mehr uralt 2.4, sondern jetzt 2.6 bzw. fast 2.7. Da hat sich etliches getan, wie man sowas sinnvoll und sauber ohne großes Gebastel umsetzen kann. Leider sind diese ganzen VPN Bastelanbieter egal wie groß nicht in der Lage ihre Dokus korrekt zu schreiben oder halbwegs aktuell zu halten. Das letzte Mal dass ich mich bei sowas einlesen musste, war es Nord und dort wurde beim Einrichten einfach mal das Default GW so verbogen, dass das ganze System im Nirvana hing. Alles nicht wirklich sinnvoll :/
Einfacher als das ganze System zu verbiegen ist bspw. das VPN einfach mit "pull-no-routes" anzulegen, das ganze Verbiegen des Default Gateways zu lassen und gezielt das Netz mit den Clients, die nur per VPN online sein sollen einfach mit Policy Based Rules via VPN zu schicken. Wenn man dann noch per Advanced Settings abschaltet, dass Regeln mit Gateway bei Ausfall des Gateways nicht automagisch übers default GW (also WAN) gehen, sondern statt dessen gar nicht ausgeführt werden - hat man auch seinen Killswitch. Per DHCP wird dann für den Client oder das Netz entsprechend einfach ein DNS gepusht, der übers VPN läuft, dann leakt auch kein DNS. Alles was dann noch übers WAN geht ist die pfSense selbst mit System Updates, ihren eigenen paar DNS Aufrufen für Updates und der VPN Verbindung.
Wie gesagt, das bekommt man heute wesentlich sinnvoller/moderner hin als das mit den ganzen OpenVPN Quirks von irgendwelchen VPN Butzen kaputt zu konfigurieren.Cheers :)
